Методические рекомендации ФСБ по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных

• угроза уничтожения защищаемой информации;
• угроза нарушения целостности защищаемой информации;
• угроза нарушения доступности защищаемой информации.

3.3 Методология формирования детализированной модели угроз

Согласно приведенному в Законе Российской Федерации «О безопасности» определению понятия «угроза безопасности», необходимо определить совокупность условий и факторов, создающих опасность нарушения характеристик безопасности возможных объектов угроз. Это и есть содержание работ по созданию детализированной модели угроз.

Можно привести примеры, когда целесообразно создание моделей угроз нескольких уровней детализации.

Очевидным примером может служить объект угроз, представляющий сложную территориально распределенную автоматизированную систему, для которой условия функционирования различных составных частей системы могут существенно различаться. При анализе такой системы, как правило, используется принцип декомпозиции сложного объекта. Если же составные части системы также весьма сложны, то их анализ снова потребует использование принципа декомпозиции сложного объекта. В рассматриваемом случае целесообразно создание моделей угроз для каждого объекта, получающегося в процессе декомпозиции.

При определении угроз безопасности объекта следует различать:

• угрозы, не являющиеся атакой;
• атаки.

Рекомендуется использовать следующую структуру угроз, не являющихся атаками:

• угрозы, не связанные с деятельностью человека: стихийные бедствия и природные явления (землетрясения, наводнения, ураганы и т.д.);
• угрозы социально-политического характера: забастовки, саботаж, локальные конфликты и т.д.;
• ошибочные действия и (или) нарушения тех или иных требований лицами, санкционировано взаимодействующими с возможными объектами угроз.

Если, например, в качестве объекта угроз выступает автоматизированная система в защищенном исполнении (АСЗИ), то к таким действиям и.нарушениям, в частности, относятся:

• о непредумышленное искажение или удаление программных компонентов АСЗИ;

• о внедрение и использование неучтенных программ;

• о игнорирование организационных ограничений (установленных правил) при работе с ресурсами АСЗИ, включая средства защиты информации.

В частности:

• нарушение правил хранения информации ограниченного доступа, используемой при эксплуатации средств защиты информации (в частности, ключевой, парольной и аутентифицирующей информации);
• предоставление посторонним лицам возможности доступа к средствам защиты информации, а также к техническим и программным средствам, способным повлиять на выполнение предъявляемых к средствам защиты информации требований;
• настройка и конфигурирование средств защиты информации, а также технических и программных средств, способных повлиять на выполнение предъявляемых к средствам защиты информации требований, в нарушение нормативных и технических документов;
• несообщение о фактах утраты, компрометации ключевой, парольной и аутентифицирующей информации, а также любой другой информации ограниченного доступа.
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 все
Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе